Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=cisco-duo-overview

Integrazione Cisco Duo

API Identità

Cisco Duo può essere integrato con Sophos Central per l’invio dei dati relativi ai tentativi di autenticazione degli utenti a Sophos Central, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Cisco Duo

La soluzione di autenticazione a più fattori (MFA) di Cisco Duo è una piattaforma basata sul cloud progettata per confermare le identità degli utenti prima di concedere accesso alle applicazioni. Agisce applicando un livello di sicurezza aggiuntivo, per fare in modo che gli utenti debbano fornire due o più metodi di verifica per autenticare la propria identità.

Documenti Sophos

Integrazione di Cisco Duo

I dati raccolti e inseriti

Inseriamo avvisi se il motivo è denied o fraud.

Esempi di avvisi visualizzati da Sophos:

  • deny_unenrolled_user
  • invalid_device
  • user_marked_fraud
  • country_code_mismatch

Avvisi inseriti per intero

Inseriamo tutti gli avvisi se il motivo è denied o fraud.

Per un elenco completo degli avvisi, vedere la sezione “reasons” (Motivi) della tabella sotto [Authentication logs (Log di autenticazione)](https://duo.com/docs/adminapi#authentication-logs)

Non inseriamo avvisi con il motivo success, a causa dell’elevato volume di attività di accesso riuscito.

Filtraggio

Eseguiamo query sull’endpoint dei log di autenticazione. Vedere Log di autenticazione

Filtriamo i risultati solo per confermare il formato.

Esempi di mapping delle minacce

Se il campo “reason” è vuoto, utilizziamo il valore di “event_type”. In caso contrario, utilizziamo il valore “reason” - “=> isEmpty(fields.reason) ? fields.event_type : fields.reason”

{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}

Documentazione del vendor

Configurare autorizzazioni e credenziali

Nota

L’API Duo ha un limite di 1 richiesta al minuto. Abbiamo un ritardo di 1 minuto tra chiamate impaginate, ma abbiamo notato in passato che alcuni clienti utilizzavano le credenziali di Duo con altri servizi (ad esempio Splunk), e questi servizi “rubavano” la quota del tasso limite, il che risultava in diversi errori di limitazione/429. In tale eventualità, occorre utilizzare un set di credenziali univoco per ciascun servizio.